En este artículo, abordaremos los problemas de sincronización en alta disponibilidad (HA) que generan el error ‘Desconocido’ en dispositivos FortiGate, así como aquellos casos en los que, al tratar de acceder al dispositivo secundario mediante la CLI, se presenta un error de conexión. Este problema es crítico, ya que puede afectar la disponibilidad y la seguridad de su infraestructura de red. Aquí le proporcionaremos soluciones concretas y un diagnóstico detallado para resolver estos inconvenientes.
Descripción del problema
Este artículo describe cómo resolver los problemas de HA fuera de sincronización que muestran el error ‘Desconocido’, así como los casos donde, al intentar acceder al secundario desde la CLI, se encuentra el siguiente error:
execute ha manage 1 <nombre-usuario>
ssh: connect to host 169.254.0.2 port 22: No route to host
Alcance
Este problema se aplica a versiones de FortiGate v7.2 y superiores.
Diagnóstico paso a paso
La salida del estado de HA del sistema también mostrará que el checksum del clúster es 0000 para el dispositivo secundario:
get sys ha status
Primario seleccionado usando:
Estado de salud HA: OK
Modelo: FortiGate-120G
Modo: HA A-P
Nombre del Grupo: Hub1
ID del Grupo: 0
Depuración: 0
Tiempo de actividad del clúster: 109 días 22:9:15
Último cambio de estado del clúster: 2024-10-29 03:54:15
<2024/10/29 03:54:15> vcluster-1: FG120GTK00000001 es seleccionado como primario porque su tiempo de actividad es mayor que el del miembro par FG120GTK00000002.
<2024/10/29 03:51:22> vcluster-1: FG120GTK00000001 es seleccionado como primario porque es el único miembro en el clúster.
<2024/10/29 03:51:16> vcluster-1: FG120GTK00000001 es seleccionado como primario porque la bandera SET_AS_SECONDARY está activa en el miembro par FG120GTK00000002.
ses_pickup: disable
override: disable
Estado de Configuración:
FG120GTK00000001 (actualizado hace 0 segundos): en sincronización
FG120GTK00000001 chksum dump: 03 0a 0f 9d d3 e8 02 63 10 3f 71 a1 ef 20 31 90
FG120GTK00000002 (actualizado hace 1730208767 segundos): fuera de sincronización
FG120GTK00000002 chksum dump: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00<— El checksum del clúster es 00.
Los paquetes ICMP muestran el error ‘ICMP: host 169.254.0.2 unreachable’:
filters=[host 169.254.0.1 or host 169.254.0.2]
2024-09-14 10:58:11.251632 vsys_ha out 169.254.0.1 -> 169.254.0.1: icmp: host 169.254.0.2 unreachable
La GUI muestra el estado de HA como ‘Desconocido’.
Nota: El error de estado de HA ‘Desconocido’ también aparece si el dispositivo secundario tiene una versión de firmware diferente (O) si hay un conflicto de cerebro dividido.
Consulte este artículo para obtener más información sobre el problema de cerebro dividido: Alta Disponibilidad – Cerebro Dividido – Comunidad Fortinet.
Al ejecutar debug de hatalk y hasync, muestra el siguiente error:
diag deb application hatalk -1
diag deb application hasync -1
diag deb en
2024-09-19 17:22:58 <hatalk> vcluster_1: ha_prio=1(secundario), state/chg_time/now=3(standby)/1726790186/1726791778
2024-09-19 17:22:59 <hasync:WARN> conn=0xd46a160 connect(169.254.0.1) falló: 113(No route to host)
Solución recomendada
Solución alternativa:
- Utilizar otro puerto como hbdev que no sea los puertos de HA y de gestión.
- La solución permanente estará disponible en v7.2.11, v7.4.5, v7.6.1.
Nota: Si el FortiGate está alojado en VMware y presenta el mismo problema, se debe habilitar la suplantación de direcciones MAC en los conmutadores virtuales que conectan las interfaces de heartbeat de VMware; o simplemente configurar el método unicast-ip para sincronizar el firewall.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!